Вторник
19.03.2024, 05:34
Про вирусы и антивирусы
Приветствую Вас Гость | RSS
Главная Публикации Регистрация Вход
Меню сайта

Категории раздела
Советы по безопасности [22]
Аналитика [18]
Выбор средства безопасности [3]
Обзоры [20]

Наш опрос
Доверяете ли Вы своему антивирусу?
Всего ответов: 273

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Партнер Dr.Web
Главная » Статьи » Аналитика

10 зло-вирусов. Самая нашумевшая малварь за последние 10 лет

1999: Melissa

  Едва ли программист из Нью-Джерси задумывался о том, чтобы собрать ботнет из миллионов машин и использовать его для рассылки спама. Вряд ли мог представить последствия создания своего, казалось бы, безобидного червя Melissa. Ведь даже распространение тот начинал не с инета - впервые он был обнаружен 26 марта в конференции alt.sex внутри Usenet - в то время еще популярной сети для общения и обмена файлами. К сообщению был приложен файл, содержащий пароли на 80 порнушных сайтов: позарившись на «клубничку», файлик с радостью открыли многие. А дальше пошло-поехало: червь тут же начал распространение, отправляя себя по 50 контрактам из записной книжки пользователя. Это был первый успешный почтовый червь, распространяемый через e-mail.

  Вирус заражает файлы документов и шаблонов MS Word и рассылает свои копии в сообщениях электронной почты при помощи MS Outlook. Распространяется чрезвычайно быстро: процедура рассылки зараженных писем отсылает большое количество вирусных копий по адресам из всех списков адресной книги MS Outlook. Для рассылки своих копий через электронную почту вирус использует возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Написав в сообщение текст аля «Вот документ, о котором ты меня спрашивал», червь приаттачивал к письму текущий открытый документ пользователя (естественно, заражая его). В результате, так вполне могли распространиться конфиденциальные файлы пользователя.

  Стремительное распространение вируса серьезно нагрузило почтовые серверы - им пришлось обрабатывать на несколько порядков больше отправлений, чем обычно. Тысячи машин по всему миру не выдержали нагрузки — они же не железные, в конце концов, а полупроводниковые! — и вышли из строя. К 27 марта распространение вируса приняло характер эпидемии; 29 марта он проник уже на компьютеры всех стран мира, подключенных к Сети, в том числе и на российские.

  Найденному силами ФБР Девиду Смиту грозили 10 лет тюрьмы, но в итоге он «легко отделался» – 20 месяцев заключения и штраф в размере $5000.

2000: Loveletter

  В следующем году - новая почтовая эпидемия, в мае вызванная вирусом Love Letter (или Love Bug). Письма, содержащие незамысловатое ILOVEYOU в строке темы, посыпались на ничего не подозревающих пользователей градом. И все было бы замечательно, если бы к письму не была приложена небольшая программка на языке Visual Basic Script. Запускалась она, стоило только пользователю открыть вложенный файл Love-letter-for-you.txt.vbs:

The Subject: ILOVEYOU
Message body: kindly check the attached LOVELETTER coming from me.
Attached file name: LOVE-LETTER-FOR-YOU.TXT.vbs

  На лицо отличный пример социальной инженерии и прием двойного расширения, – что помогло скрыть подлинную природу файла (по умолчанию Windows не показывает второе, настоящее, расширение файла). Ну а коль скоро пользователь файл запустил (а почему, собственно, нет? - тогда люди доверяли друг другу), можно делать свое дело. Полностью написанная на скриптовом языке (с использованием Windows Scripting Host), малварь честно рассылает копии тела по всем адресам из адресной книги почтовой программы MS Outlook, после чего приступает к деструктивной части, закачивая и устанавливая в системе троя. Путь до исполняемого файла просто прописывался как домашняя страница в параметрах Internet Explorer. Это обеспечивало его автоматическую загрузку, а запуск в системе гарантировал специально созданный ключ в реестре. Далее домашняя страница возвращалась на свое место - и ушастый пользователь даже не замечал изменений.

  Судя по всему, автора сильно пекла проблема двойного расширения, поэтому зараженный компьютер на локальных и присоединенных сетевых дисках создавал файлы .vbs к уже существующим документам. Если в папке был файл rulez.mp3, то тут же создавался rulez.mp3.vbs с телом червя - и так повсюду. Другой способ распространения, который также давал плоды - через скрипты mIRC, т.е. самую распространенную программу для бешено популярных тогда IRC-чатов.

  Пользователям автоматически передавалась HTML-ка, предлагающая закачать некий ActiveX-элемент. Что находилось внутри, объяснять не надо, а проверить, что прислал им хороший приятель, соглашались многие.

  Первый случай активности вируса был зафиксирован 5 мая 2000 г., а уже через сутки им были частично или полностью поражены сети ЦРУ, NASA, Министерства энергетики, конгресса США, Пентагона, британской палаты общин и еще множества организаций. Ущерб, нанесенный червем в первые дни активности, был оценен в $9 млрд. Офигительно? В любом случае, автора скрипта так не нашли, несмотря на оставленный им автограф:

barok -loveletter(vbe) < i hate go to school >
by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines 

2001: Code Red

  Из-за этого червя сайту Белого дома США пришлось поменять IP :). Стартовавшего 13 июля 2001 года, Code Red интересовали виндовые машины с запущенным веб-демоном IIS на борту и включенной системой индексирования. О существовании критической уязвимости в Microsoft знали задолго до появления вируса, а за месяц до эпидемии была опубликована заплатка. Впрочем, несмотря ни на что, к 19 июля количество зараженных машин превысило 350 тысяч. И это притом, что вирус был разборчив и атаковал системы на базе Windows 2000, хотя теоретически мог эксплуатировать и другие.

  Брешь в ISS позволяла легко выполнять на сервере удаленный код. Разработчики Code Red не сильно заморачивались и приделали эксплоит к простейшему сканнеру, который работал «в лоб». Специально сформированные запросы тупо отправлялись на все сгенерированные адреса подряд, в надежде, что где-то окажется вожделенный IIS. В итоге, оборудование попросту стало задыхаться от огромного количества мусорного трафика, который генерировали ноды по всему мира. В логах Apache, на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

  В процессе работы Code Red не использовал никаких временных или постоянных файлов. Червь уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины. Но наличие заразы на сервере обнаруживалось без всякого антивируса. Поскольку в памяти компьютера может существовать сразу сотни активных процессов червя, то тормоза и лаги были неизбежны. Сам червь помимо распространения заменял содержимое страниц на зараженных серверах на сообщение: «HELLO! Welcome to http://www.worm.com! Hacked By Chinese!». А между 20 и 28 числами месяца тело червя должно было начать DoS-атаку на несколько IP-адресов, один из которых принадлежал американскому Белому дому.

  В августе этого же года начал распространяться новый червь Code Red II, код которого, несмотря на схожее название, был создан заново и предоставлял владельцам полный контроль над зараженными машинами.

2002: Nimda

  Запустившегося в сентябре 2001 года червя ну никак не могли не связать с деятельностью Алькайды, заодно рассказывая о мощных технологиях, применяемых в новой заразе. Но если присказки о терроризме были выдумкой журналистов, то очевидная продвинутость нового червя была на лицо. Фишка Nimda заключалась сразу в нескольких каналах распространения, благодаря которым ему удалось в считанные минуты распространиться по Сети. Разберемся по порядку.

  1. Наибольший пробив удалось достичь за счет эксплоита, который использовал уязвимость в Internet Explore'е, позволяющую автоматически запускать приаттаченный к письму файл. Прикрепленный к письму README.EXE (написаный, кстати, на С++) беспрепятственно запускался на машине и комфортно начинал свое распространение. Причем, для поиска новых адресатов вирус кропотливо сканировал документы на жестком диске, а также запрашивал с помощью специальной MAPI-функции список адресатов с сервера Microsoft Exchange.
  2. Другой способ распространения - расшаренные ресурсы в локалке. После сканирования всех доступных шар Nimda создавал там файлы с почтовыми сообщениями, имеющие расширение .EML и .NWS. Во время нажатия они открываются в почтовой программе, что автоматически влекло за собой заражение, как если бы письмо просто пришло по почте.
  3. Про дырявый IIS, уязвимость в котором уже использовали другие черви, создатели забыть не могли. И поэтому довольно эффективно пробивали майкросовский веб-демон с помощью уязвимости directory traversal. В случае заражения веб-сервера на нем случайным образом выбирались странички, откуда начиналась загрузка вируса посетителям.
  4. И еще интересный ход - Nimda не стеснялся и активно использовал бекдоры, оставленные в системах червями Code Red II и sadmind/IIS.
  5. Добавим, что Nimda имел опасный побочный эффект, который мог допустить утечку конфиденциальной информации с зараженных компьютеров. Червь добавлял пользователя под именем «Guest» в группу пользователей «Администраторы». Таким образом, обычные гости получали полный доступ к ресурсам компьютера. Более того, все локальные диски открывались через шары для полного доступа.

  Автор этого вируса официально не найден, но в теле червя содержится строка, указывающая, что создатель из Китая.

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

2003: Slammer

  Незадачливые жители стран Северной Америки были сильно удивлены, когда 25 января многие банкоматы попросту перестали работать. Во всем мире со сбоями работали службы по заказу и резервированию авиабилетов, многие сервисы вообще не были доступны. Но набивший оскомину финансовый кризис тут вовсе не причем - это лишь всплеск активности червя Slammer. Активность впервые замечена в 12:30 по среднеатлантическому времени, а к 12:33 количество зараженных машин удваивалось каждые 8.5 секунд.

  В основе червя лежала уязвимость в Microsoft SQL Server, концепция которой была представлена David Litchfield на конференции BlackHat. Отправляя на 1434 скомпрометированный пакет, вирус мог выполнить на удаленной машине произвольный код и, в свою очередь, продолжить распространение. По различным отчетам сообщается, что вирусу удалось заразить 75.000 машин за каких-то десять минут, – но как? Большую роль сыграло, что тело вируса составляли всего 376 байт, которые помещались в один единственный UDP-пакет. Slammer не использовал тормозной TCP, применяемый для просмотра сайтов, передачи файлов и т.д., а потом требующий постоянных квитков-подтверждений. Уязвимый сервис, позволяющий приложениям автоматически обращаться к нужной базе данных, как раз принимал запросы по UDP - а значит, можно было рассылать тело вируса со скоростью несколько десятков запросов в секунду!

  Несмотря на то, что патч для уязвимости был выпущен за 6 месяцев до эпидемии, а вирус никак не проявлял себя на зараженной машине, последствия от Slammer'а были колоссальными. Роутеры и маршрутизаторы на магистралях были настолько перегружены трафиком, что лавиноблазно выбивали другу друга, в конце концов отключив некоторые бэкбоны. Южная Корея была полностью отрублена от инета и находилась в таком состоянии почти 24 часа. Только представь: никакого интернета и мобильной связи с внешним миром для 27 миллионов человек. Забавно, что многие жертвы даже не знали, что на их машине установлена такая специфическая вещь как SQL.

2004: Sasser

  Уж что-что, а окошко System Shutdown, инициированное NT AUTHORITY\SYSTEM с обратным отсчетом и сообщением о принудительной перезагрузке компьютера видел каждый – годом ранее, во время эпидемии Blaster'а, либо же в 2004, когда стал бушевать во многом похожий на него Sasser. Принципиальная разница червей в том, что они используют критические уязвимости в разных службах. Для размножения Sasser использует баг переполнения буфера в службе Local Security Authority Subsystem Service (LSAS) - отсюда и название червя. Написанное на С++ тело Sasser в первоначальной версии открывает 128 параллельных потоков, и, используя специальный алгоритм по генерации IP-адресов, пытается найти системы с незащищенным 445 портом и уязвимым сервисом. Сплоит работал на «ура», правда, приводил к ошибке на системе пользователя. Он открывал на 9997 порту шелл, через который далее и заливалось все необходимое. Само тело червя без лишнего геморроя просто передавалось по протоколу через FTP, причем сервер также открывался на зараженных компьютерах на 5554 порту.

  Как часто бывает, шелл-код сплоита отличается от системы к системе, поэтому Sasser предварительно проверял версии удаленной системы, чтобы выбрать правильный набор параметров для атаки.

  Оригинальная версия червя Sasser распространялась достаточно медленно, но через несколько дней в Сети были выпущены модификации, распространяющиеся гораздо быстрее. К этому моменту число зараженных машин измерялось сотнями тысяч, а в пике эпидемии речь шла о миллионах. В Финляндии были отменены рейсы, по всему миру были закрыты отделения крупнейших банков. Автором заразы оказался 18-летний немецкий студент Свен Яшан, которого заложил кто-то из своих, позарившись на обещанное Microsoft'ом награждение в 250.000 баксов. Помимо Sasser, на компьютере парнишки нашли еще и многочисленные модификации червя Netsky.

2005: Sony rootkit

  Забавный факт: это единственный руткит, который распространялся чуть ли не легально. Win32/Rootkit.XCP, или "sony rootkit", является частью системы защиты выпускаемых Sony BMG аудио-CD. Приложение разработано компанией First 4 Internet и используется Sony BMG в качестве инструментария, с помощью которого скрывается установка на компьютер и функционирование DRM-компонентов (Digital Rights Management components), предназначенных для защиты содержимого CD от нелегального копирования. Только представь: эта система защиты дисков инсталлируется на компьютер пользователя автоматически, когда компакт-диск вставлен в дисковод (при условии, что разрешен Автозапуск и пользователь соглашается с лицензионным соглашением, которое появляется во всплывающем окне). На компьютер пользователя устанавливаются DRM-компоненты, предназначенные для защиты от копирования содержания аудио-CD, а также программное обеспечение, скрывающее их работу. Так, устанавливаемый драйвер $sys$aries (aries.sys) скрывает все файлы и ключи в реестре, которые начинаются с "$sys$". Другие драйверы тем временем работают как фильтр, осуществляя постоянный мониторинг активности CD-привода. Более того: технология работы системы защиты, используемая Sony BMG, основана на перехвате системных функций.

  Скрывать названия файлов и процессов в системе - типичное для вредоносных программ поведение. Хотя используемая Sony BMG система защиты контента не осуществляет копирование или какие-то другие вредоносные действия, данное ПО можно считать вредоносным кодом. Во-первых, наличие этого программного обеспечения может привести к нестабильности системы, зависанию компьютера и потере данных. Но это ен главное! Данная защита от копирования создает новую уязвимость: механизм, предназначенный для сокрытия файлов и процессов, может использоваться другими вредоносными программами. Так, на сегодня уже известна как минимум одна троянская программа, скрывающая свое присутствие в системе с помощью инструментария Win32/Rootkit.XCP.

2006: Warezov

  На дворе - 2006 год, только вот ушастые пользователи по-прежнему открывают все вложения в письмах, а программно им мало кто запрещает это делать. Результат? Огромный ботнет Warezov (он же Stration), который авторы сумели собрать за счет одноименного червя, рассылаемого по email. Никаких сплоитов и уязвимостей, - социальная инженерия и людская тупость. И ведь говорят: «Не открывай вложений» - так ведь все равно кликают. Особенность Warezov в огромном количестве вариаций, которые появлялись, как грибы после дождя, – был момент, когда новые модификации появлялись чуть ли не раз в 30 минут. Даже с обновленными антивирусными базами многие юзеры оставались не у дел. Впоследствии, когда на веб-серверах глобально начали вычищать все письма со зловредными аттачами, модификации перекинулись на IM-сети. А один из вариантов Warezov стал первым червем, который распространялся через Skype!

  Как всегда в ботнетах, тело Warezov позволяло владельцам загрузить на компьютер любую заразу. Червь содержит в себе список жестко прописанных URL-адресов (что, конечно, минус), которые он проверяет на наличие файлов. В случае если по какому-либо из этих адресов будет размещен файл, он загрузится в систему и запустится. Основной модуль Warezov способен завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров. Для организации рассылки червь использует собственный SMTP-сервер. Главное использование ботнета - это, конечно же, спам. Однако многие ноды служили для хостинга так называемых fast-flux платформ, позволяя спамерам прятать настоящее расположение их спамерских сайтов за IP-адресом жертвы. IP сайтов менялся настолько часто, что его невозможно было прикрыть. Warezov достигал этого двумя средствами: reverse HTTP proxy, которая получала контент с настоящего (скрываемого) сайта, а также DNS-сервера, на котором специальная версия Bind под Windows меняла записи по нужному алгоритму.

2007: Storm

  Ботнет, созданный с помощью червья Storm, можно было смело назвать произведением искуства. Децентрализованная P2P-сеть, в которой большинство хостов сидит тихо и ждет указаний. Доменные имена разрешаются в постоянно меняющиеся IP-адреса (fast-flux domains). Часть кода червя — полиморфная. В пике - более миллиона инфицированных хостов. Эпидемия червя начала с компьютеров в Европе и Соединенных Штатах 19 января 2008 года, когда, прикрываясь темой урагана в Европе, пользователям повалились письма с предложением открыть вложенный файл с названиями Full Clip.exe, Full Story.exe, Read More.exe или Video.exe.

  Все скомпромитированные машины автоматически объединялсь ботнет, но это была необычная сеть, управляемая со специального сервера, доступ к оторому может быть перекрыт. Принцип управления Storm больше напоминал пиринговую сеть, без использования централизованного сервера. Каждая нода присоединялась к определенному набору также спомпромитированных машин, которые выступали в качестве хостов. Не смотря на то, что на каждый инфицированный хосте был расшарен список зараженных машин, ни у одной машины нетполного списка зомби в сети. На 7 сентебюря, расчеты размера ботнета варьировались до 1 до 10 миллионов компьютеров.

  Помимо функций по работе с ботнетом, Storm устанавливает в системе руткит: Win32.agent.dh. Посредствам троя злоумышленники могли красть конфиденциальную информацию, рассылать спам и устраивать отличные DDoS-атаки.

2008: Mebroot

  После долгого отсутствия нововведений, в начале года появилась малварь, заражающая загрузочный сектор диска. Троян Mebroot при распространении использует старые приемы маскировки, но вредоносная программа записывается в главную загрузочную запись жесткого диска - наиболее важную область на винчестере, содержащую структуру данных для запуска процесса загрузки компьютера. После чего Mebroot вносит модификации в ядро операционной системы Windows, затрудняющие обнаружение вредоносного кода антивирусами. Заражение компьютера происходит при посещении вредоносного веб-сайта, откуда сплоитом заливается тело вируса. Правильно говорят: «Все новое - это хорошо забытое старое».

  Тактика изменения главной загрузочной записи была широко распространена среди вирусописателей во времена MS-DOS, однако в последние годы о ней подзабыли. В 2005 году на хакерской конференции Black Hat специалисты eEye Digital Security продемонстрировали пример руткита, способного прятаться в главной загрузочной записи диска. Код именно этого руткита положен в основу трояна Mebroot. Эксперты подчеркивают, что на текущий момент не все антивирусные программы способны обнаруживать Mebroot. Поэтому пользователям, как обычно, рекомендуют воздержаться от посещения подозрительных веб-сайтов и не запускать файлы, полученные из ненадежных или неизвестных источников.

  По сути, Mebroot представляет собой не столько самостоятельную вредоносную программу, сколько инструмент для сокрытия любого троянца.

2009: Downadup (aka Conficker, Kido)

  Червя, нашумевшего в январе, называют по-разному: Downadup, Conficker, Kido. Важно одно: новой малваре за несколько дней удалось заразить миллионы компьютеров, и собранный ботнет функционирует до сих пор.

  Разработчикам удалось лихо диверсифицировать способы распространения, объединив в одном черве сразу несколько успешных методик. Самый эффективный способ — приватный сплоит, использующий непропатченную систему с уязвимостью переполнения буфера MS08-067 в сервисе «Сервер» (патч вышел еще в октябре). Для этого червь отсылает удаленной машине специальным образом сформированный RPC- запрос, вызывающий переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll. На компьютере запускается специальный код-загрузчик, который скачивает с уже зараженной машины исполняемый файл червя и запускает его. Кроме этого, червь отлично тиражирует себя через «Сетевое окружение», перебирая пароль администратора к системной шаре ADMIN$. А давно известный способ распространения через флешки претерпел изменения: в результате обфускации Autorun.inf (разработчики просто добавили в файл кучу мусора) удалось обмануть многие сигнатурные антивирусы. Несколько способов = максимальный эффект!

  Другая ключевая особенность заключается в том, как червь скачивает на зараженную машину трояна (для альнейшей рассылки вируса, DDoS’а и т.д.). Разработчики отказались от размещения файлов на каком-то жестко зафиксированном серваке. Вместо этого код червя получает на нескольких популярных ресурсах текущую дату и по ней генерирует список из 250 доменов, используя специальный алгоритм. Задача хозяев ботнета — заблаговременно эти домены зарегистрировать и разместить там файлы для загрузки. Противостоять этому не столько сложно, сколько дорого. Перехватывая API-вызовы, отвечаю- щие за обращение к DNS, заразе долгое время удавалось сдерживать антивирусы, которые банально не могли обновиться, обращаясь к заблокированным доменам, содержащим слова kaspersky, nod, symantec, microsoft и т.д.


Категория: Аналитика | Добавил: aktivist (26.08.2010)
Просмотров: 1500 | Рейтинг: 1.5/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Ставки на спорт Сопровождение 1С
Copyright tixer © 2009- 2024